PCI DSS

Что такое PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт) — документ, в котором описываются правила обеспечения безопасности информации о владельцах платежных карт при их обработке, передаче или хранении. Стандарт PCI DSS разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC).  Основателями PCI SSC являются ведущие международные платежные системы — Visa, MasterCard, American Express, JCB, Discover. С информацией о деятельности PCI SSC вы можете ознакомиться на его сайте.

Для кого необходимо следование стандартам PCI DSS?

Соответствие стандарту PCI DSS обязательно для любых организаций, которые хранят, обрабатывают или передают информацию о держателях платежных карт – даже в минимальных объемах, не превышающих информацию об одной карточной транзакции в год, либо о владельце платежной карты. В первую очередь, это торгово-сервисные предприятия (розничные магазины и службы электронной коммерции), а также поставщики услуг, прямо связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт и т. п.).

Соответствия этому стандарту требуют, в частности, международные платежные системы.

По результатам аудита такого соответствия QSA-аудитор подготавливает «Отчет о Соответствии» (Report on Compliance) по каждому из требований PCI DSS.

Что получает организация от приведения своей IT-инфраструктуры в соответствие с требованиями стандарта PCI DSS?

Адаптируя свою IT-инфраструктуру к стандарту PCI DSS, компания:

• Значительно повышает уровень защищенности среды обработки персональных данных, и ограждает себя от таких проблем, как:
1. электронное мошенничество
2. взломы системы
3. вирусы
4. утечка информации
5. злонамеренные нарушения сотрудников
• тем самым снизив финансовые риски, связанные с нарушениями информационной безопасности клиентов.
• Может настроить системы обработки персональных данных для  наиболее эффективной работы
• Получает  по результатам QSA-аудита представление о том, на что в первую очередь следует направить ресурсы для повышения защищенности обработки платежных карт.
• Получает сертификат соответствия стандартам PCI DSS, что означает возможность работать с ведущими международными платежными системами.

Какие требования содержит в себе стандарт PCI DSS?

PCI DSS предъявляет требования к организации процессов обеспечения информационной безопасности, функциональности средств защиты информации, их конфигурации и настройке приложений. Эти требования касаются 12-ти тематических разделов:

• применение межсетевых экранов;
• правила настройки оборудования;
• защита хранимых данных о владельцах платежных карт;
• применение криптографических средств защиты при передаче данных;
• применение антивирусных средств;
• безопасная разработка и поддержка приложений и систем; управление доступом пользователей к данным;
• управление учетными записями;
• обеспечение физической безопасности;
• мониторинг безопасности данных; регулярное тестирование систем;
• разработка и поддержка политики информационной безопасности.

Стандарт PCI DSS не содержит требований по использованию конкретных технических решений, моделей оборудования и версий программного обеспечения.

Для внедрения стандартов  PCI DSS используются различные продукты и технологии. Для решения задачи аудита мы рекомендуем продукты компании Quest .